勒索软件可以加密已挂载的 SQL 数据库吗？假想答案

【问题标题】：Can ransomware encrypt a mounted SQL database? Hypothetical勒索软件可以加密已挂载的 SQL 数据库吗？假想
【发布时间】：2020-05-27 08:15:22
【问题描述】：

在我们今天的员工会议上，出现了从可能的勒索软件攻击中恢复数据库的主题。甚至可以加密已安装的、正在使用的数据库的问题。即使没有发生任何活动，如果已挂载，文件也会被锁定并且无法在实例之外进行修改。对吧？

如果可能，数据库的完整备份是否会成功（如果它已加密或被视为已损坏）。如果我使用 SQL Server 的加密，我可以备份数据库，那么它在加密时会遗漏标题吗？底线，我的数据库对勒索软件有多大的“风险”？

【问题讨论】：

如果勒索软件有本地管理员，它可以杀死访问文件的进程然后加密它。
它们和其他任何东西一样都处于危险之中，因此，如果需要，您应该确保您有未保存在同一网络上的备份以供备用。
@piotr 如果它终止进程但没有恢复它，我会立即知道。我们会议讨论的重点是我们必须保留多长时间/多少次备份？如果我立即知道，我可以终止服务器并从昨晚的备份中重新安装。如果我不知道，因为实例正在运行并且备份成功，我需要保留一年的价值。
@keith，是的，这是给定的，我们这样做了，我们的想法是我们多久会知道它发生了，这样我们就可以为恢复做准备。我认为，但不确定，数据库会立即显示为损坏，我们可以立即处理它。

【解决方案1】：

勒索软件总是有可能攻击备份服务器，因此用于备份的离线媒体存储（或云/保险库存储）至关重要。
如果普通勒索软件攻击数据文件，您将立即获得访问、校验和或 TDE 错误。如果日志文件受到影响，则应在下一次日志备份期间找到最晚的文件。

但从理论上讲，勒索软件有可能将自己作为磁盘驱动程序插入并即时解密所有读取，直到服务器重新启动或某个特定时间点（例如使用存储在某个地方的密钥配置 BitLocker 仅供勒索软件创建者访问） .
在这种情况下，备份直接发送到云端或单独的备份服务器应该仍然有效，只要备份服务器不受影响。

【讨论】：